漏洞描述Smartbi在安装时会内置几个用户，在使用特定接口时，可绕过用户身份认证机制获取其身份凭证，随后可使用获取的身份凭证调用后台接口，可能导致敏感信息泄露和代码执行。影响版本V7 <= Smartbi <= V10fofa语法FOFA：app=”SMARTBI”漏洞复现http://ip/smartbi/vision/RMIServlet出现以上页面则表示代码存在

SQL注入基础1.常用代码order by（排序，用来判断字段数）union select （联合查询，用来查询自己想要得到的数据）database()（可以用来查询数据库）limit 0,1（限制输出，0表示下标，1表示数量）information_schema(mysql数据库5.0及以上版本，自带数据库，他记录了mysql数据库下所有的数据库名，表名，列名信息)informati

xss攻击是网页中嵌入客户端恶意脚本，而我们要进行xss攻击时可以选择使用的语言有javascript，actionscript，vbscript等。在这些语言中最常用的就是javascrtip。 我们针对xss的检测手段分为两种： 1、手工检测：精准但是较为困难 2、软件自动检测：方便但是会有误报，且对一些较为隐蔽的xss无法检测 两种检测手段各有优劣，但是我们如果直接使用xss